Bastion Host

Unter einem Bastion Host versteht man einen Server, der Dienste für das öffentliche Internet anbietet oder als Proxy oder Mailserver auf das öffentliche Internet zugreifen muss und daher besonders gegen Angriffe geschützt werden muss.

Inhaltsverzeichnis

Konfiguration

Netzwerktopologie

Zum Schutz wird der Server in einem Netzwerk platziert, das sowohl gegenüber dem Internet als auch dem internen Netzwerk durch eine Firewall abgesichert wird. Ein solches Netzwerk wird als Demilitarisierte Zone bezeichnet. Die eingesetzten Firewalls, welche dieses separate Netz sichern, sollten hierbei möglichst restriktiv konfiguriert sein. Zum Beispiel sollte der direkte Zugriff aus dem internen Netz zum Internet nicht möglich sein. Auch sollten nur die Ports freigegeben werden, die für den Betrieb benötigt werden. Ein Webserver wird in der Regel keine eigenen Zugriffe zu anderen Webservern im Internet aufbauen. Daher sollte der Aufbau einer Verbindung zu einem Port 80 durch die Firewall untersagt werden.

Räumliche Platzierung des Servers

Ein solcher Rechner sollte in einem Raum untergebracht werden, zu dem nur berechtigte Personen Zugang besitzen.

Installation und Konfiguration der Software

Bei der Konfiguration eines solchen Rechners ist darauf zu achten, dass nur die Software installiert wird, die unbedingt für den Betrieb des Rechners benötigt wird. Bei der Installation sollte darauf geachtet werden, dass nur die für den Betrieb unbedingt notwendigen Merkmale installiert werden. Außerdem sollten die Anwendungen nur mit den für den Betrieb unbedingt notwendigen Berechtigungen versehen werden. Die Installation von Entwicklungsumgebungen sollte daher vermieden werden, um Hacker nicht durch die Bereitstellung entsprechender Werkzeuge bei einem Einbruch zu unterstützen. Auch sollte der Betrieb mehrerer Dienste auf einem Rechner vermieden werden, da hierdurch das Risiko eines Angriffs erhöht wird.

Überwachung und Betrieb

Der Betrieb eines solchen Rechners sollte nur von erfahrenen Administratoren durchgeführt werden, da eine ständige Kontrolle der Aktivitäten durch eine Analyse der Logdateien erforderlich ist. Außerdem sollte sich der Administrator über aktuell bekanntgewordene Sicherheitslücken informieren, um eine Gefährdung des Systems im Voraus abwehren zu können.

Hierbei muss der Administrator in der Lage sein, zu beurteilen, ob die gemeldete Sicherheitslücke für das betroffene System relevant ist, um gegebenenfalls durch entsprechende Konfiguration des Systems oder Installation eines Patches das System vor Angriffen zu schützen.

Sicherheitsrichtlinien

Um Fehlentscheidungen in Krisensituationen zu vermeiden, ist es sinnvoll, Sicherheitsrichtlinien aufzustellen, in denen unter anderem auch Verhaltensregeln im Falle eines erfolgreichen Angriffs enthalten sein sollten. Ebenfalls sollten die organisatorischen Zuständigkeiten für entsprechende Entscheidungen in einem solchen Dokument eindeutig geregelt sein.

Auch für die Planung können solche Richtlinien hilfreich sein, um eventuelle Fehler im Voraus zu vermeiden.

Siehe auch

Weblinks


Wikimedia Foundation.

Schlagen Sie auch in anderen Wörterbüchern nach:

  • Bastion host — Saltar a navegación, búsqueda Un Bastion host, en español anfitrión bastión, es un ordenador en una red que ofrece un único punto de entrada y salida a Internet desde la red interna y viceversa. Los anfitriones bastión se usan para mitigar los… …   Wikipedia Español

  • Bastion host — A bastion host is a special purpose computer on a network specifically designed and configured to withstand attack. The computer hosts a single application, for example a proxy server, and all other services are removed or limited to reduce the… …   Wikipedia

  • Bastion host — Обозначение для Узла бастиона Узел бастион (Bastion host)  так называют специально отведенный компьютер в сети, обычно расположенный на внешней стороне демилитаризованной зоны (ДМЗ) организации. Такой узел полностью открыт для атак, так как… …   Википедия

  • bastion host —    A computer system that acts as the main connection to the Internet for users of a LAN. A bastion host is usually configured in such a way as to minimize the risk of intruders gaining access to the main LAN. It gets its name from the fortified… …   Dictionary of networking

  • Bastion (disambiguation) — Bastion can refer to::Main use: *A bastion, a fortification work projecting outward from the main enclosure of a fortification.:Other uses: * Bastion (Nanaimo, British Columbia), an historic octagonal fort built in the early 1850s by the Hudson s …   Wikipedia

  • Bastion (Informatique) — Pour les articles homonymes, voir Bastion (homonymie). En sécurité des systèmes d information, un bastion (ou bastion host en anglais) est un élément du réseau informatique qui fournit un point d entrée et/ou de sortie unique vers Internet.… …   Wikipédia en Français

  • Bastion (informatique) — Pour les articles homonymes, voir Bastion (homonymie). En sécurité des systèmes d information, un bastion (ou bastion host en anglais) est un élément du réseau informatique qui fournit un point d entrée et/ou de sortie unique vers Internet.… …   Wikipédia en Français

  • Bastion Deluxe Hotel Amsterdam Amstel (Amsterdam) — Bastion Deluxe Hotel Amsterdam Amstel country: Netherlands, city: Amsterdam (City Rai Congress Centre) Bastion Deluxe Hotel Amsterdam Amstel The Bastion Hotel Amsterdam Amstel is ideal for guests who prefer a personal atmosphere, hospitality,… …   International hotels

  • DMZ-Host — Eine Demilitarized Zone (DMZ, auch ent oder demilitarisierte Zone) bezeichnet ein Computernetz mit sicherheitstechnisch kontrollierten Zugriffmöglichkeiten auf die daran angeschlossenen Server. Die in der DMZ aufgestellten Systeme werden durch… …   Deutsch Wikipedia

  • Dual homed host — Bei einem Dual Homed Host (DHH) handelt es sich um einen Host, der in zwei Netzwerkumgebungen beheimatet ist. Dies bedeutet meist, dass er IP Adressen aus mindestens zwei Netzwerken hat. Der DHH ist aus beiden Netzwerken heraus erreichbar, stellt …   Deutsch Wikipedia

Share the article and excerpts

Direct link
Do a right-click on the link above
and select “Copy Link”